Update: Deaktivieren von SSLv3 mit Connections 5 CR1 (POODLE Attack)

IBM hat letzte Woche ein Fix vorgestellt welcher das WebSphere SDK anhebt und somit ein deaktivieren von SSLv3  (und somit der POODLE Attack) ermöglicht. Dieser Fix ist für jede Connections Version verfügbar. Ich habe diese aktuell jedoch ausschließlich mit 5 CR1 getestet.

Link zur Technote

Links zu Fixcentral

Im Anschluss SSLv3 in der http.conf des IBM HTTP Servers mit “SSLProtocolDisable SSLv3” deaktivieren.

Bei aktivem SPENGO:
Sofern das Keytab und die krb5.conf im Standardpfad liegen sollten diese vor dem Update gesichert werden. Der Pfad und somit die Dateien werden überschrieben. Notfalls ist ein Backup unter “WebSphere/AppServer/properties/patches/backup/8.5.0.0-WS-WASJavaSDK-<OS>-IFPI28920/java/jre/lib/security” zu finden.

Update POODLE TLS Bug:
Ein deaktivieren von TLSv1.0 und TLSv1.1 ist mit Connections aktuell nicht möglich. Folgende SSL Ciphers helfen:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 
TLS_RSA_WITH_AES_256_GCM_SHA384
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA

Leave a Reply

Your email address will not be published. Required fields are marked *